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(57) Abstract: The invention relates to a method for 
managing an original executable code (CI) downloaded 
into a reprogrammable computer on-board system such 
as a microprocessor card (CP), said code comprising a 
cryptographic signature (SIGN) and being executable 
by the microprocessor once the validity of said signature 
has been checked. The inventive method comprises the 
following steps: off* the card, a modified executable code 
(CY) corresponding to the original code and adapted to a 
pre-defined specific use is identified, a software component 
(CL) is calculated, which, when applied to the original 
code, enables the modified code to be reconstructed, said 
software component is signed, and the signed original 
c °de and the signed software component are downloaded 
into the card; then, on the card, the signatures (SIGN, SIGN-) of the original code and the software component are checked and 
the software component is applied to the original code in order to reconstruct the modified code for the execution of the same by 
means of the microprocessor. 

(57) Abrege : L invention conceme un proc&te de gesrion d'un code executable original (CI) t&echarge* dans un systeme infor- 
matique embarque~ reprogrammable tel qu'une carte a microprocesseur (CP) , ledit code possddant une signature cryptographique 
(SIGN) et Oant executable par le microprocesseur apres verification de la validity de ladite signature, comprenant les Stapes consis- 
tant: hors carte : a identifier un code executable modify (CI') correspondent au code original, adapts a une utilisation specifique 
pr&tefinie; k calculer un composant logiciel (CL) qui, lorsqu'il est applique^ au code original, permet de reconstruire le code modify 
a signer ledit composant logiciel; a tSlecharger le code original signe* et le composant logiciel signe* dans la carte; sur carte • a verifier 
les signatures (SIGN, SIGN) du code original et du composant logiciel; a appliquer le composant logiciel sur le code original, de 
fafon a reconstruire le code modifie* pour son execution par le microprocesseur. 
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En ce qui concerne les codes a deux lettres et autres abrevia- 
tions, se referer aux "Notes explicatives relatives aux codes et 
abreviations" figurant au debut de chaque numero ordinaire de 
la Gazette du PCX 
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PROCEDE DE GESTION D'UN CODE EXECUTABLE TELECHARGE DANS 
UN SYSTEMS EMBARQUE RE PROGRAMMABLE 



L' invention concerne un procede de gestion d'un 
code executable prevu pour etre telecharge, notarranent 
dans un systeme informatique embarque a 
microprocesseur . 

D'une maniere generale, la presente invention 
s' applique a tout systeme embarque , reprogrammable par 
telechargement d'un programme constitue par un code 
executable, se presentant sous la forme d'une suite 
d' instructions executables par le microprocesseur du 
systeme embarque. L' invention trouve une application 
particulierement interessante dans un contexte ou le 
code executable est constitue par un code objet 
intermediaire, executable par le microprocesseur du 
systeme embarque par 1' intermediaire d'un interpreteur 
du code intermediaire, communement appele machine 
virtuelle, muni d'une pile d' execution et de registres 
d'operandes manipules par ces instructions et 
permettant d' interpreter ce code intermediaire. 

Plus particulierement, la description qui va suivre 
concerne 1' application de 1' invention dans le contexte 
des cartes a microprocesseurs reprogrammables de type 
JavaCard . 

Les cartes a microprocesseur de type JavaCard sont 
en effet reprogrammables par 1' intermediaire d'une 
operation de telechargement d'un petit programme, 
designe par « appliquette » ou « applet » selon la 
terminologie anglo-saxonne . 

Pour des raisons de portability entre differents 
systemes informatiques embarques, un applet se presente 
sous forme de code pour une machine virtuelle standard. 
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Ce code ecrit sous forme binaire sert d' intermediaire 
entre le code source et le code binaire executable et 
est obtenu par exeraple par la mise en oeuvre d'un 
corapilateur Java. Ce code intermediaire, « bytecode » 
selon la terminologie anglo-saxonne, n'est done pas 
directement executable par le microprocesseur de la 
carte mais doit etre interprets de maniere logicielle 
par un interpreteur de code binaire appele machine 
virtuelle. II suffit que la carte dans laquelle doit 
s'executer 1' applet ecrit en langage intermediaire soit 
munie d'un minimum de ressources inf ormatiques 
specifiques formant le programme constitutif de la 
machine virtuelle. Dans l'exemple precite des cartes de 
type JavaCard, la machine virtuelle utilisee est un 
sous-ensemble de la machine virtuelle Java. 

L' operation de telechargement d' applets sur un 
systeme informatique embarque dote d'un interpreteur de 
code intermediaire pose un certain nombre de problemes 
de s6curite. Ainsi, un applet involontairement mal 
ecrit peut modifier de maniere incorrecte des donnees 
deja presentes sur le systeme, empecher le programme 
principal de s'executer correctement, ou encore 
modifier d'autres applets telecharges precedemment, en 
rendant ceux-ci inutilisables ou nuisibles. 

Egalement, a partir d' un applet ecrit dans un but 
malveillant, il est possible d'effectuer une operation 
de duplication de zones de memoire de la carte et/ou de 
mettre en peril le bon f onctionnement de la carte a 
puce. II devient ainsi possible d' avoir acces a des 
donnees confidentielles ou non autorisees stockees dans 
le systeme, telles que le code d' acces dans le cas 
d'une carte bancaire par exemple, ou d'attaquer 
l'integrite d'une ou plusieurs applications presentes 
sur la carte. Enfin, si la carte est connectee au monde 



exterieur, les dysfonctionnements provoques peuvent se 
propager a 1' exterieur de la carte. 

Aussi, des solutions ont ete proposees de maniere a 
remedier aux problemes de securite impliques par 
1 # operation de telechargement de code intermediaire 
(bytecode) sur un systeme informatique embarque dote 
d'un interpreteur de code intermediaire, tel que 
l'exemple precite de la JavaCard. 

Une solution consiste a effectuer des contr61es 
dynamiques d' acces et de typage pendant 1' execution des 
applets. La machine virtuelle effectue alors un certain 
nombre de contrdles lors de 1' execution des applets, 
tels que : 

Controle d' acces a la memoire : a chaque lecture ou 
ecriture d'une zone memoire, la machine virtuelle 
verifie le droit d' acces de 1" applet aux donnees 
correspondantes ; 

Verification dynamique des types de donnees : a 
chaque instruction de 1' applet, la machine virtuelle 
verifie que les contraintes sur les types de donnees 
sont satisfaites ; 

Detection des debordements de pile et des acces 
illegaux dans la pile d' execution de la machine 
virtuelle. 

Cette solution presente toutefois 1' inconvenient 
d'un ralentissement tres important de l f execution, 
provoque par 1' ensemble des verifications dynamiques. 
De telles verifications augmentent egalement les 
besoins en memoire vive et permanente du systeme, en 
raison des informations supplementaires de type qu'il 
est necessaire d'associer aux donnees manipulees. 

Une autre solution consiste alors a specifier le 
code intermediaire (bytecode) de telle sorte qu'il soit 
possible de controler de maniere statique (c' est-a-dire 



pendant X' operation de telechargement et avant son 
execution) que le programme est inoffensif. Ceci est 
realise par un organe de securite appele verifieur. 
Pour des raisons de securite, les cartes JavaCard 
doivent done posseder un verifieur a bord. 

Bien qu' il permette une execution du code 
intermediaire beaucoup plus rapide par rapport au 
processus de verification dynamique f un tel processus 
de verification statique presente toutefois 
1' inconvenient d'etre couteux, tant en taille de code 
necessaire pour conduire ce processus, qu'en taille de 
memoire vive necessaire pour contenir les resultats 
intermediates de la verification, et qu'en temps de 
calcul. 

En partant du principe enonce dans cette derniere 
solution, la demande de brevet FR 2 797 963 (Dl) 
presente un protocole de gestion d' un code 
intermediaire telecharge associe a un processus de 
verification statique de ce code intermediaire lors de 
son telechargement, qui permet une execution sure de ce 
dernier par le systeme informatique embarque. On 
obtient ainsi avantageusement un verifieur beaucoup 
plus simple et beaucoup moins couteux en taille de code 
necessaire . 

L'idee centrale de Dl est de transformer le code 
intermediaire hors carte avant son telechargement pour 
en simplifier la verification une fois qu' il a ete 
telecharge et memorise dans la carte. Une phase de 
transformation du code intermediaire est done realisee 
hors de la carte et il s'agit par consequent d'un code 
intermediaire modifie et normalise qui est telecharge 
dans la carte, plutdt que le code intermediaire 
original obtenu par la mise en ceuvre d'un compilateur 
Java. Ainsi, le code intermediaire transform^ hors 
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carte sera plus facilement verifie en mode statique 
selon un processus de verification predefini puisqu'il 
aura ete transform^ en un code intermediate normalise 
satisfaisant a priori aux criteres de verification du 
5 processus de verification predefini objet de Dl. Cette 
phase prealable de transformation effectuee hors carte 
permet done avantageusement d'accelerer le processus de 
verification. Pour une description detaillee de cette 
solution, on pourra se reporter au texte de Dl . 

10 Toutefois, un inconvenient de la methode proposee 

dans Dl est qu'elle ne permet pas de faire cohabiter le 
processus de verification du code intermediaire sur 
laquelle elle repose avec un systeme de signature de ce 
code intermediaire. Ainsi, Dl ne permet pas d' avoir un 

15 code intermediaire d'une part, verifiable de facon 
simple et rapide et, d' autre part, signe. En effet, la 
methode proposee par Dl prevoit de transformer le code 
intermediaire hors carte avant son telechargement comme 
explique plus haut et, par consequent, la signature du 

20 d6veloppeur du code (ou de toute autre personne 
habilitee a signer le code) effectuee avant la 
transformation imposee hors carte au code intermediaire 
devient, du fait meme de cette modification, invalide. 
II en resulte que la signature n'est alors plus 

25 verifiable par la carte. 

Or, la possibility laissee a la carte de pouvoir 
verifier la signature du code intermediaire telecharge 
est egalement tres importante en terme de securite. En 
effet, la verification prealable du code intermediaire 

30 avant son execution ne permet pas de s' as surer que le 
code intermediaire ne contient pas de « cheval de 
Troie ». En fait, seule une analyse manuelle permet de 
contrdler que le code intermediaire, meme s'il est 
correct vis-a-vis de la verification, n'est pas 



WO 2004/090718 



PCI7EP2004/050437 



6 



agressif et ce contr61e ne peut pas etre realise par la 
carte. Plus precisement, la carte ne peut en fait que 
verifier la validate d'une signature attestant que ce 
contrdle manuel du code intermediaire a ete effectue 
5 correctement . D' ou 1' importance de pouvoir mettre en 
oeuvre le telechargement d'un code intermediaire 
disposant d'une signature valide. 

l>a presente invention, qui se fonde sur ces 
differents constats , a pour but de pallier les 
10 inconv6nients precites lies a la mise en ceuvre du 
procede de verification objet de Dl. 

Avec cet objectif en vue, 1' invention vise plus 
particulierement a faire cohabiter un systeme de 
signature avec le systeme de verification propose par 
15 Dl lors du telechargement d' un code intermediaire dans 
un systeme informatique embarque reprogrammable dote 
d'un interpreteur de code intermediaire , sans toutefois 
renoncer aux avantages procures par le systeme de 
verification selon Dl, notamment en termes de 
20 simplicity et de rapidite. 

Plus generalement, un objet de 1' invention est la 
mise en oeuvre d'un procede de gestion d'un code 
executable a telecharger, intermediaire ou non, 
permettant la verification d'une signature de ce code 
25 par un systeme informatique embarque tel qu'une carte a 
microprocesseur, tout en laissant 1' opportunity 
d'operer une transformation du code executable en vue 
d'une utilisation specif ique predefinie. Par exemple, 
la transformation du code executable original peut 
30 vouloir viser a ameliorer sa verification lors de son 
telechargement selon les principes du processus de 
verification exposes dans Dl, lorsqu'il s'agit d'un 
code intermediaire execute par 1' intermediaire d'une 
machine virtuelle, ou bien encore a ameliorer sa 



Vitesse d' execution par le microprocesseur de la carte, 
sans qu'une telle transformation puisse alterer la 
validite de la signature et done sa verification par la 
carte . 

A cet ef f et , 1 ' invention concerne done un procede 
de gestion d'un code executable original formant un 
programme destine a etre telecharge dans un systeme 
informatique embarque reprogrammable tel qu'une carte a 
microprocesseur, ledit code possedant une signature 
cryptographique et etant executable par le 
microprocesseur du systeme embarque apres verification 
par celui-ci de la validite de ladite signature, ledit 
procede comprenant les etapes consistant au moins : 

- hors carte : - a identifier un code executable 
modifie correspondant au code original, adapte a une 
utilisation specifique predefinie; - a partir des 
variations entre les donnees du code original et du 
code modifie correspondant, a calculer un composant 
logiciel qui, lorsgu'il est applique au code original, 
permet de reconstruire le code modifie; et - a signer 
ledit composant logiciel; 

- a telecharger le code original signe et le 
composant logiciel signe dans la carte; 

sur carte : - a verifier les signatures 
respectivement du code original et du composant 
logiciel; - a appliquer le composant logiciel sur le 
code original de facon a reconstruire le code 
modifie pour son execution par le microprocesseur. 

Dans une variante, le code executable original est 
constitue par un code intermediaire, executable par le 
microprocesseur de systeme embarque par 1' intermediaire 
d'une machine virtuelle permettant d' interpreter ce 
code intermediaire. 
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Selon un premier mode de realisation, en liaison 
avec ladite variante, la machine virtuelle est munie 
d'une pile d' execution et le composant logiciel 
telecharge, applique sur carte au code intermediaire 
original, permet de reconstruire un code intermediaire 
modifie satisfaisant a priori a des criteres de 
verification dudit code intermediaire selon lesquels 
les operandes de chaque instruction dudit code 
appartiennent aux types de donnees manipulees par cette 
instruction et, a chaque instruction de cible de 
branchement, la pile d' execution de la machine 
virtuelle est vide. 

De preference, le code intermediaire modifie obtenu 
par 1' application du composant logiciel est verifie, 
avant son execution par le microprocesseur par 
1' intermediaire de la machine virtuelle, selon un 
processus verifiant que le code intermediaire modifie 
satisfait aux criteres de verification. 

Selon un autre mode de realisation, le composant 
logiciel telecharge, applique sur carte au code 
original, permet de reconstruire un code modifi6 tel 
que son execution est plus rapide par rapport a celle 
du code original. 

Selon un autre mode de realisation, le composant 
logiciel telecharge, applique sur carte au code 
original, permet de reconstruire un code modifie tel 
qu'il procure une optimisation en taille par rapport au 
code original. 

D'autres caract6ristiques et avantages de 
1' invention ressortiront plus clairement de la 
description qui est faite ci-apres, a titre indicatif 
et nullement limitatif, en reference aux figures 
suivantes dans lesquelles : 
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- la figure 1 illustre de facon schematique les 
etapes du procede realisees hors carte ; 

- la figure 2 illustre de facon schematique 
l'etape de telechargement dans la carte du code 
intermediaire original et du composant logiciel associe 
dedie a une utilisation specifique predefinie, et 

- la figure 3 illustre de facon schematique les 
etapes du procede realisees sur carte. 

La description qui va suivre est plus 
parti culierement orientee vers une application de 
1' invention dans un contexte de systeme ouvert, et plus 
particulierement celui des cartes a microprocesseurs 
reprogrammables de type JavaCard CP comme representee a 
la figure 2, ou le code original telecharge est un code 
intermediaire execute par le microprocesseur par 
1' intermediaire d'une machine virtuelle. Toutefois, il 
ne doit pas etre perdu de vue que le procede selon 
1' invention s' applique egalement dans un contexte ou le 
code telecharge n'est pas un code intermediaire mais un 
code directement executable par le microprocesseur du 
systeme embarque. 

De tels systemes reprogrammables ajoutent done la 
possibility d'enrichir le programme executable apres la 
mise en service du systeme par une operation de 
telechargement d'un applet. 1/ applet devant etre 
telecharge se presente sous la forme d'un code 
executable original CI, constitue dans cet exemple par 
un code intermediaire pour une machine virtuelle, 
typiquement un sous-ensemble de la machine virtuelle 
Java residant dans la memoire de la carte. Ainsi, une 
fois le code intermediaire CI genere, un auditeur est 
mis a contribution pour verifier que le code 
intermediaire CI ne contient pas de cheval de Troie. 
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Dans le cas ou le code intermediaire CI ne 
contient ef f ectivement aucun programme malicieux de ce 
type, l'auditeur signe le code intermediaire CI. La 
signature crypto graphi que SIGN peut etre effectuee en 
utilisant tout mecanisme de signature electronique a la 
disposition de l'homme de 1'art. Le code intermediaire 
CI signe est alors utilisable sur n'importe quelle 
carte Java et possede done une signature SIGN attestant 
de son innocuite et susceptible d'etre verifiee par la 
carte au moment de son telechargement . La verification 
de la signature electronique consiste a verifier que la 
signature est valide. 

Une caracteristique essentielle de 1' invention 
consiste a telecharger le code intermediaire CI 
original, c' est-a-dire non modifie, dans la carte CP et 
de lui adjoindre un composant logiciel CL perrnettant, 
lorsqu'il est applique au code intermediaire original, 
de calculer un code intermediaire CI' modifie adapte a 
une utilisation specif ique predefinie. Sur les figures 
le code intermediaire original CI est schematise par 
des lignes de code en trait continu, tandis que le code 
intermediaire modifie CI' correspondant est schematise 
par des lignes de code en trait continu et en 
pointilles . 

Selon 1' invention, le logiciel CL supplemental re a 
appliquer au code intermediaire original signe CI est 
calcule hors carte en fonction du code intermediaire 
original CI et d'un code intermediaire modifie 
correspondant, identifie pour une utilisation 
specif ique predefinie. De la meme facon que pour le 
code intermediaire original CI, le composant logiciel 
CL est signe et possedent done une signature SIGN' 
susceptible d'etre verifiee. 
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L' application principale de 1' invention est de 
pouvoir faire cohabiter un systeme de signature avec le 
systeme de verification propose par Dl lors du 
telechargement du code intermediaire dans la carte. 
Aussi, dans le cadre de cette application, le code 
intermediaire CI' est un code intermediaire modifie 
adapte a 1' utilisation specif ique predefinie consistant 
a satisfaire a priori aux criteres de verification du 
processus de verification objet de Dl. Ainsi, dans 
1" application principale de 1' invention, le composant 
logiciel est calcule de telle sorte qu'une fois 
applique au code intermediaire original CI, on obtient 
un code intermediaire modifi6 CI' qui est normalise 
selon l'enseignement de Dl de fagon a satisfaire a 
priori aux criteres de verification du processus de 
verification objet de Dl . Notamment, le code 
intermediaire normalise selon Dl est tel que les 
operandes de chaque instruction appartiennent aux types 
de donnees manipulees par cette instruction et la pile 
d' execution de la machine virtuelle est vide a chaque 
instruction de cible de branchement. Pour une 
description plus detaillee, le lecteur pourra utilement 
se reporter au texte de Dl . Cependant, il sortirait du 
cadre de la presente demande de detainer ici les 
calculs permettant d'aboutir au composant logiciel tel 
que defini, qui sont par ailleurs connus de 1'homme du 
metier. 

Le code intermediaire original CI et le composant 
logiciel CL associe sont alors telecharges dans la 
carte CP, voir la figure 2. Le composant logiciel CL 
voyage done avec le code intermediaire original CI et 
est destine a etre applique sur carte au code 
intermediaire original, une fois stocke avec ce dernier 
dans une memoire permanente reinscriptible de la carte. 
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La carte verifie tout d'abord que la signature SIGN 
du code intermediaire CI est valide, de fa con a 
s' assurer que ce dernier ne comprend pas de cheval de 
Troie ni aucun autre code malicieux du meme type. La 
carte verifie egalement la validite de la signature 
SIGN' du composant logiciel CL pour s' assurer que lui 
non plus ne contient pas de cheval de Troie. 

Une fois ces operations prealables de verification 
de signature effectuees avec succes, la carte applique 
le composant logiciel CL au code intermediaire original 
CI, voir la figure 3, de facon a reconstruire le code 
modifie CI' adapte a l' utilisation specifique 
predefinie consistant, dans le mode de realisation 
principal de 1' invention, a satisfaire a priori aux 
criteres de verification du processus de verification 
ob jet de Dl . 

La carte peut alors verifier le code intermediaire 
modifie avant son execution par le microprocesseur par 
1' intermediaire de la machine virtuelle en mettant en 
ceuvre les techniques de verification employees dans le 
processus de verification statique d'un fragment de 
programme objet de Dl. Ainsi, le processus de 
verification consiste a verifier que le code 
intermediaire modifie CI' satisfait aux criteres de 
verification precites, a savoir que les operandes de 
chaque instruction du code modifie appartiennent aux 
types de donnees manipulees par cette instruction et, a 
chaque instruction de cible de branchement, la pile 
d' execution de la machine virtuelle est vide. II est 
demande au lecteur de se rapporter au texte de Dl pour 
davantage de details qui seraient superflus dans le 
cadre de la presente demande. 

Puis, une fois la verification du code 
intermediaire modifie conduite selon les principes du 
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verifieur objet de Dl, le code intermedial re modifie 
est execute par le microprocesseur par 1' intermediaire 
de la machine virtuelle. 

Ainsi, le procede selon 1' invention permet de faire 
cohabiter avantageusement un systeme de signature avec 
le systeme de verification propose par Dl lors du 
telechargement d'un code intermediaire dans un systeme 
informatique embarque reprogrammable. II est done 
possible de telecharger des applets signes dans la 
carte et de permettre a la carte de verifier cette 
signature tout en conduisant un processus de 
verification tel qu' expose dans Dl . Ceci est rendu 
possible grace au composant logiciel a telecharger en 
meme temps que le code intermediaire original signe, 
qui permet lorsqu' il est applique sur carte a ce 
dernier, d' obtenir un code intermediaire modifie 
repondant aux principes du verifieur simple et rapide 
expose dans Dl . 

Le code intermediaire telecharge dans la carte 
selon 1' invention etant le code intermediaire original, 
sa signature n'est pas rendue invalide par un 
quelconque processus de modification effectue hors 
carte et, en consequence, la carte est a meme de 
verifier sa signature avant son execution. 

Toutefois, si 1' application principale qui a ete 
presentee concerne un composant logiciel adapte a des 
fins de verification du code intermediaire selon les 
principes exposes dans Dl, 1' invention ne se limite 
nullement a une telle application. 

De facon generale, 1' invention s' applique au 
telechargement dans un systeme embarque reprogrammable 
d'un code executable original, intermediaire ou non en 
fonction du systeme, et d'un composant logiciel associe 
tel que, lorsqu' il est applique sur carte au code 
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original, le coraposant logiciel permet de reconstruire 
un code modifie adapte pour une utilisation specifique 
predefinie. La finalite peut done etre autre que 
l'obtention d'un code modifie permettant 1' application 
5 du processus de verification selon Dl. 

Notamment, 1' utilisation specifique predefinie a 
laquelle repond le code modifie peut correspondre a une 
optimisation en temps de 1' execution du code. Ainsi, le 
composant logiciel telecharge avec le code original 

10 peut etre calcule de facon que le code original, une 
fois modifie sur carte par application du composant, 
s' execute plus rapidement. Dans cette application de 
1' invention, le composant logiciel telecharge applique 
sur carte au code original permet done de reconstruire 

15 un code modifie tel que son execution est plus rapide 
par rapport a celle du code original. 

Egalement, le composant logiciel telecharge avec le 
code original peut etre calcule de facon que le code 
original, une fois modifie sur carte par application du 

20 composant, occupe une place memoire moindre. Dans cette 
application de 1' invention, le composant logiciel 
telecharge, applique sur carte au code original, permet 
done de reconstruire un code modifie tel qu' il procure 
une optimisation en taille par rapport au code 

25 original . 

I/exemple donne ci-apres a titre illustratif 
concerne un cas concret d' application sur carte d'un 
composant logiciel sur un code intermediaire original 
en vue d'obtenir une optimisation en vitesse 

30 d' execution et en taille du code original telecharge. 
Dans cet exemple, le code intermediaire original 
telecharge decrit une operation courante effectuee dans 
les programmes de carte a puce consistant a recuperer 
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1' octet de poids faible d'un mot de 16 bits place sur 
la pile. 

Soit done le code intermediaire original suivant 
(code operation Java et notation symbolique) : 
5 0x11 sspush 255 

0x00 
OxFF 

0x53 sand ; 

Ce code permet de recuperer 1' octet de poids faible 
10 d'un mot de 16 bits place sur la pile. Pour cela, il 
faut empiler un mot de 16 bits dont 1' octet de poids 
fort est a 0x00 et 1' octet de poids faible est a OxFF 
(sspush 255) , puis faire un ET logique entre les deux 
mots de 16 bits sur la pile (sand) . 
15 Et r soit le code de reraplacement correspondant : 

0xC9 Xsand_255 / 

Dans cet exemple particulier, le composant logiciel 
telecharge destine a etre applique sur carte au code 
intermediaire original, a pour fonction de remplacer la 

20 suite d' instructions 0x11, 0x00, OxFF, 0x53 par le code 
de remplacement 0xC9, pour obtenir ainsi un code 
intermediaire modifie pour effectuer la merae operation 
mais procurant un gain de 3 octets par rapport au code 
intermediaire original et done une optimisation en 

25 taille et en vitesse lors de son execution par le 
microprocesseur par 1' intermediaire de la machine 
virtuelle. 

D'autres applications peuvent bien sfir etre 
envisagees sans pour autant sortir du cadre de la 
30 presente invention. 
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REVINDICATIONS 

1. Procede de gestion d'un code executable original 
<CI) formant un programme destine a etre telecharge 
dans un systeme informatique embarque reprogrammable 
tel qu'une carte a microprocesseur (CP), ledit code 
possedant une signature cryptographique (SIGN) et etant 
executable par le microprocesseur du systeme embarque 
apres verification par celui-ci de la validite de 
ladite signature, ledit procede comprenant les etapes 
consistant au moins : 

- hors carte : - a identifier un code ex6cutable 
modifie (CI') correspondent au code original, adapte a 
une utilisation specifique predefinie; et - a partir 
des variations entre les donnees du code original (CI) 
et du code modifie (CI') correspondant, a calculer un 
composant logiciel (CL) qui, lorsqu'il est applique au 
code original, permet de reconstruire le code modifie; 
- a signer ledit composant logiciel (CL) ; 

- a telecharger le code original signe et le 
composant logiciel signe dans la carte; 

- sur carte : - a verifier les signatures (SIGN, 
SIGN') respectivement du code original (CI) et du 
composant logiciel (CL) ; - a appliquer le composant 
logiciel (CL) sur le code original (CI) , de facon a 
reconstruire le code modifie (CI') pour son execution 
par le microprocesseur. 

2. procede selon la revendication 1, caracterise en 
ce que le code executable original (CI) est constitue 
par un code intermediaire, executable par le 
microprocesseur de systeme embarque par 1' intermediaire 
d'une machine virtuelle permettant d' interpreter ce 
code intermediaire. 
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3. Procede selon la revendication 2, caracterise en 
ce que la machine virtuelle est munie d'une pile 
d 1 execution et en ce que le composant logiciel (CL) 
telecharge, applique sur carte au code intermediaire 

5 original (CI) , permet de reconstruire un code 
intermediaire modifie (CI') satisfaisant a priori a des 
criteres de verification dudit code intermediaire selon 
lesquels les operandes de chaque instruction dudit code 
appartiennent aux types de donnees manipulees par cette 
10 instruction et, a chaque instruction de cible de 
branchement, la pile d' execution de la machine 
virtuelle est vide. 

4. Procede selon la revendication 3, caracterise en 
ce que le code interm6diaire modifie (CI') obtenu par 

15 1' application du composant logiciel est verifie, avant 
son execution par le microprocesseur par 
1' intermediaire de la machine virtuelle, selon un 
processus verifiant que le code intermediaire modifie 
(CI r ) satisfait aux criteres de verification. 

20 5 - Procede selon la revendication 1 ou 2, 

caracterise en ce que le composant logiciel (CL) 
telecharge, applique sur carte au code original (CI), 
permet de reconstruire un code modifie tel que son 
execution est plus rapide par rapport a celle du code 

25 original . 

6. Procede selon la revendication 1 ou 2, 
caracterise en ce que le composant logiciel (CL) 
telecharge, applique sur carte au code original (CI), 
permet de reconstruire un code modifie tel qu'il procure 

30 une optimisation en taille par rapport au code 
original . 
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